（计算机应用技术专业论文）一种分布式入侵检测系统的研究与设计.pdf

摘要 摘要 入侵事件的日益猖獗，人们发现只从防御的角度构造安全系统是不够的。入 侵检测系统s 是继防火墙、数据加密等传统安全保护措施后新一代的安全保障 技术。它对计算机和网络资源上的恶意使用行为进行识别和响应，它不仅检测来 自外部的入侵行为，同时也监督内部用户的未授权活动，入侵检测技术是一种主 黼罢霎耋募窑莩辇妻晶网络防撒术稚着问题基础扯躲吲新的网本文在分析了单纯的网络防护技术存在着问题基础之上，提如了一种新的网 络安全技术入侵检测。i d s 很好地弥补了防火墙、访问控制、身份认证等传统 保护机制所不能解决的问题。接着对入侵检测系统进行了详细地论述，包括基本 概念、分类、分布式入侵检测系统存在的问题及难点以及d n i d s 的发展趋势等各 个方面的内容。在分析了集中式n i d s 的体系结构及其存在的问题，阐述了本系统 所采用的一种分布式n i d s 的体系结构。系统主要由四种基本单元所组成：局部检 测器、区域监视器、全局合成器和系统管理器。 出了 提 块、 网络协议解析模块、规则解析模块、决策模块、响应模块、通信模块、存储模块、 互动接口和界面管理模块。本文对其中几个重要模块进行了设计。在整个设计中 作者分析和实现了网络数据包捕获技术、协议分析技术、规则解析技术、通信技 术和互动接口技术。在数据包捕获部分设计中主要讨论了l i n u ) 【下的b p f 机制和 l i b p c a p 函数库，利用它们实现了l i n u x 下网络数据包的捕获技术，它们使得系统 设计具有跨平台性。在协议分析中详细讨论了i p 、t c p 、u d p 、i c m p 等协议的解 析过程，协议分析得出的结果是入侵检测部分的基础。在分析模块设计中对入侵 检测规则进行了深入分析，采用了s n o r t 的规则库，本系统试图对规则匹配的次序 进行动态调整，以提高数据包匹配效率，从而提高入侵检测系统的整体性能。在 通信模块中采用了一种非对等实体间的通信机制。互动接口主要用a p i 函数来实 现。 关键词：分布式入侵检测系统，t c p i p 协议分析，规则解析，a p i 函数，网络安 全 a b s t r a c t a b s t r a c t t h ei n 廿1 l s i o ne v e 玎to f t e nt a k e sp l a c e i ti sn o te n o u 曲t ob u i l dm es a f e t ys y s t e m 0 1 1 1 y 丘o l nm ed e f 两s es i d e i d s ( i n 饥l s i o nd e t e c t i o ns y s t 廿1 1 ) i san e wt ) ，p eo fs a f 乱y p m t e c t i o nt e c l l n 0 1 0 9 ya f t e r 仃a d i t i o n a ls e c u r i t yp r o t e c t i o nm e t h o ds u c ha sf i r e w a l l ，d a t a c r y p ta n ds oo n i tn o t0 1 1 1 yd e t e c t st l l ei i 】妞l s i o n 矗d mt h ee x 仃a n e th a c k e rb u ta l s o m o n i t o r si n 位m e tu s e r s i n t r u s i o nd e t e c t i o ni sa na c t i v en e t w o r ks a f e t yp r o t e c t i o n t e c h n o l o g y b a s e do nm es t l l d yo nm ep r 0 如l e mo fp u r en e t w o r kd e f 宅n s et c c h n 0 1 0 9 y ，t 1 1 i s p a p e rp u t sf 0 1 w a r dak i n do fn e wn e t w o i ks e c u r i t yt e c t m 0 1 0 9 y i d s i d sc a nr e s 0 1 v e t h e s ep r o b l e m sw k c ht l l e f i r e w a l i ，a c c e s sc o n t r o l ，a u 协肌t i c a t i o n c a l l tr e s 0 1 v e i n s u c c e s s i o n ，d i s s e r t a t et h ei n t r l l s i o nd c t e c t i o ns y s t e i ni nd e t a i l ，i n c l u d i n gt h eb a s i s c o n c 印t i o n s ，c l a s s i f i c a t i o n ，d n i d s sp r o b l e m sa 1 1 di t st e i l d e n c y b a s e do nt h ea 1 1 a l y s i s o f 廿1 ec 锄仕a l i z e dn i d s ss 觚c t u r ea n dp r o b l 锄s ，l i sp a p e re x p a t i a t eas h l l c t u r eo fa d i s t r i b u t c dn i d su “c ht h i ss y s t e t t la d o p t c d t h i sd n i d si sc o m p o s e do f 如u rp a r t s ： u d u ，s m u ，g a ua n dm c u f i n a l l y ，t 1 1 ea u m o rs t u d i e s 血et e d l n o l o g yo fn i d si nl i n u x 血c l u d i n gt h e i n 劬s i o nt e c l l l l o l o g ya n ds y s t e md e s i 印，b r j n g sf o r w a r dam t e g r a t e df 洒eo f ad n i d s ， i tc o n c l u d e sm ef o u o w i n gm o d u l e s ：n e 附o r kp a c k e tc 印n j r em o d u l e ，n e t w o r kp r o t o c 0 1 a n a l y s i sm o d u l e ，r u l e sa 1 1 a l y s i sm o d u l e ，e t c t h j sd i s s e r t a t i o no n l yd e s i g n ss e v e r a l i r n p o r t a l l tm o d u l e s t h eb p ft 1 1 e o r ya n d1 i b p c 印a r ed i s c u s s e di nn e t w o r kp a c k e t c a p t u r em o d u l e i t c a nm a k es y s t e md e s i g t lc o m p a 缸b l e i np r o t o c o l a i l a l y s i sm e i p ，t c p ，u d pa n di c m p 肌a l y s i sa r ed i s c u s s e di nd e t a i l i i lm l e sa i l a l y s i sm o d m em c n l l e so fi 1 1 机j s i o nd e t e c t i o na r ed i s c u s s e dc o m p l e t e l y nu s e st h en 1 1 e so fs n o r t t h s s y s t 锄a t t 髓1 p t s 幻a d j u s tt h es e q u e n c eo fn 1 1 e - m a t c h j n gd y n a m j c a l l y ，s oa st oi n c r e a s e 也en 1 1 e m a t c h i n g s p e e de 位“v e l y i i lc o m m u n i c a t i o nm o d u l eac o m m l l i l i c a n o n m e c h a n i 锄b e t w e e n1 1 1 1 e q u i t yi sa d o p t c d ，e x c h a l l g ei n t e r f a c ei si m p l e m 饥t e d 埘t ha p i 如n c t i o n s k e y w o r d ：d i s m u t e di n 咖s i o nd e t e c t i o ns y s t e i t l ，t c p 佃p r o t o c o la n a l y s i s ，r u l e a n a l y s i s ，a p if u n c t i o n ， n e t w o r ks a 脚 i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：二翊鍪牝 日期： 妒i 年参月日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：亟兰虹 导师签名： 日期：彤年华月日 第章前言 第一章前言 计算机网络技术的发展使得信息的传送和处理突破了时间和地域的限制，互 联网的爆炸性发展更进一步为人类的信息交互、科学、技术、文化、教育、生产 的发展提供了极大的便利，信息网络全球化的发展己成为不可抗拒的世界潮流。 然而，就在计算机网络给人们的生活、工作带来巨大便利的同时，它就像一面双 刃剑，其所带来的安全问题同样突出。由于系统的复杂性、协议设计的缺陷、终 端分布的不均匀性、网络的开放性、迷漫性和互联互通性等特征，致使网络很容 易遭到黑客、恶意软件、和其他不轨人员的攻击，国家、单位和个人的信息系统 受到了极大的安全威胁。 1 1 问题的提出 在信息安全的发展史上有一个里程碑，这就是1 9 8 5 年美国国防部( d o d ) 国家 计算机安全中心( n c s c ) 发布的可信计算机安全评估准则( t c s e c ) 这个准则的发布 对操作系统、数据库等方面的安全发展起到了很大的推动作用。 但是随着网络的深入发展，这个标准已经不能完全适应当前的技术需要，因 为这个主要基于h o s tt e r m i n a l 环境的静态安全模型和标准无法完全反应分布式、 动态变化、发展迅速的i n t e r n e t 安全问题。 传统的信息安全技术都集中在系统自身的加固和防护上。比如，采用b 级操 作系统和数据库、在网络出口配置防火墙、在信息传输和存储中采用加密技术、 使用集中的身份认证产品等。 然而，单纯的防护技术有许多方面的问题： 首先，单纯的防护技术容易导致系统的盲目建设，这种盲目包括两方面：一方 面是不了解安全威胁的严峻和当前的安全现状：另一方面是安全投入过大而又没 有真正抓住安全的关键环节，导致不必要的浪费。 其次，防火墙策略对于防范黑客有其明显的局限性。防火墙技术是内部网最 重要的安全技术之一，其主要功能就是控制对受保护网络的非法访问，它通过监 视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一 电子科技大学硕士学位论文 方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。但也有其明 显的局限性，诸如： 防火墙难于防内。防火墙的安全控制只能作用于外对内或内对外，即：对外可 屏蔽内部网的拓扑结构，封锁外部网上的用户连接内部网上的重要站点或某些端 口，对内可屏蔽外部危险站点，但它很难解决内部网控制内部人员的安全问题。 即防外不防内。而据权威部门统计结果表明，网络上的安全攻击事件有7 0 以上来 自内部攻击。 防火墙难于管理和配置，易造成安全漏洞。防火墙的管理及配置相当复杂， 要想成功的维护防火墙，要求防火墙管理员对网络安全攻击的手段及其与系统配 置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说， 由多个系统( 路由器、过滤器、代理服务器、网关、堡垒主机) 组成的防火墙，管 理上有所疏忽是在所难免的。根据美国财经杂志统计资料表明，3 0 的入侵发生在 有防火墙的情况下。 防火墙的安全控制主要是基于i p 地址的，难以为用户在防火墙内外提供一致 的安全策略。许多防火墙对用户的安全控制主要是基于用户所用机器的i p 地址而 不是用户身份，这样就很难为同一用户在防火墙内外提供一致的安全控制策略， 限制了企业网的物理范围。 防火墙只实现了粗粒度的访问控制，且不能与企业内部使用的其它安全机制 ( 如访问控制) 集成使用，这样，企业就必须为内部的身份验证和访问控制管理维 护单独的数据库。 再次，保证信息系统安全的经典手段是“存取控制”或“访问控制”，这种手 段在经典的以及现代的安全理论中都是实行系统安全策略的最重要的手段。但迄 今为止，软件工程技术还没有达到a 2 级所要求的形式生成或证明一个系统的安全 体系的程度，所以不可能百分之百地保证任何一个系统( 尤其是底层系统) 中不存 在安全漏洞。而且，无论在理论上还是在实践中，试图彻底填补一个系统的安全 漏洞都是不可能的，也还没有一种切实可行的办法解决合法用户在通过“身份鉴 别”或“身份认证”后滥用特权的问题。 i d s 是新一代的安全防范技术，它通过对计算机网络或系统中的若干关键点收 集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。 这是一种集检测、记录、报警响应为一体的动态安全技术。作为信息安全保障的 一个重要环节，i d s 很好地弥补了防火墙、访问控制、身份认证等传统保护机制所 不能解决的问题。 2 第一章前言 1 2 入侵检测系统的发展及现状 入侵检测就是通过对系统数据的分析，发现非授权的网络访问和攻击行 为，虽然现在防火墙等安全工具己经被普遍地应用到各种网络环境中，但是网络 仍然存在着许多安全隐患。而入侵检测系统是解决这些隐患的有效手段，在系统 采用主动策略安全机制( 如访问控制，数据加密等) 来保证其结构上的安全性，并 使用安全扫描工具保证系统进行了合理设置的基础上，入侵检测工具能够及时有 效地检测出非授予权的网络行为，入侵检测是网络安全领域中一个较新的课题。 国外对入侵检测系统的研究可以追溯到1 9 8 0 年。1 9 8 0 年4 月，j a m e sp a n d e r s o n 1 在他写的一份报告“计算机安全威胁的监察”( c o i n p u t e rs e c u r i t y t h r e a tm o n i t o r i n ga n ds u r v e 订1 a n c e ) 中指出，必须改变现有的系统设计机制， 以便专职系统安全人员提供安全信息，此文被认为是有关入侵检测的最早论述。 从1 9 8 4 年到1 9 8 6 年，d o r o t h yd e n n i n g 2 和p e t e rn e u m a n n 研究开发了一个实 时模式的入侵检测系统，命名为入侵检测专家系统i d e s ( i n t r u s i o nd e t e c t i o n e x p e r ts y s t e m ) d e n n i n g 于1 9 8 6 年发表的论文“入侵检测模型( a ni n t r u s i o n d e t e c t i o nm o d e l ) ”被公认为是入侵检测领域的一篇开山之作，是入侵检测系统 历史上的个里程碑。i d e s 是入侵检测系统发展史上最有影响的系统之一，i d e s 使用统计学模式的数据结构来描述系统用户行为设计系统目标的方法的基础。行 为标准详细描述了在任意给定时刻的各种行为。这个统计学模式准许系统评估违 反常规的固定或者动态措施的行为。原形系统采用的是一个混合结构，包含了一 个异常检测器和一个专家系统。异常检测器采用统计学技术刻画异常行为。专家 系统采用的基于规则的方法检测己知的入侵行为。1 9 9 5 年开发了i d e s 完善后的版 本n i d e s ，受a n d e r s o n 和i d e s 的影响，在2 0 世纪8 0 年代出现了大量的入侵检 测原型系统如d i s c o v e r ，h a y s t a c k ，m i d a s ( m u l t i c si n t r u s i o nd e t e c t i o na n d a 1 e r t i n gs y s t e m ) 3 ) ：n a d i r ( n e t w o r ka n o m a l yd e t e c t i o na n d 工n t r u s i o n r e p o r t e r ) 和w i s d o ma n ds e n s e 等，商业化的i d s 在8 0 年代末也开始出现。 刚开始的入侵检测系统大部分都是基于主机的，它们对于活动性的检查局限 于操作系统审计踪迹数据及其它以主机为中心的信息源。直到1 9 8 9 年网络系统监 视器( n s m ) 的出现，它第一个试图把入侵检测系统扩展到异种网络环境的系统中， 即把入侵检测扩展到了网络环境中。这是入侵检测系统第一次监视网络流量并把 网络流量作为主要数据源，在入侵检测研究史上又是一个具有重要意义的里程碑。 随着网络系统日益复杂，且广泛采用了分布式的环境，海量存储和高带宽的 电子科技大学硕士学位论文 传输技术，使得集中式的i d s 越来越不能满足系统要求。因此，出现了分布式入 侵检测系统( d i d s ，d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) ，它将基于主机 和基于网络监视的方法集成在一起，成为i d s 系统的基本框架。此后，各个研究 机构和商业厂家也就开始了入侵检测系统的综合研究和开发。 1 3 本课题研究的目的和内容 由于i n t e r n e t 在协议、服务和管理等方面存在的缺陷，使得网络黑客有机可 乘，造成许多站点信息泄露或被篡改、网络资源被非法使用。在入侵者突破防火 墙之后，入侵检测系统是网络安全的最后一道屏障，起到极为重要的作用。入侵 检测作为安全防范的一种重要手段，可以及时发现系统漏洞及入侵动机和行为、 及时提醒管理人员采取相应的措施、显著地减少被入侵的可能性和可能造成的损 失。因此研究高效的安全检测技术和开发实用的安全检测系统具有重大的理论和 实践意义。 作为入侵检测系统研究的一个重要的研究方向，分布式入侵检测系统一直受 到网络安全业界人士的重视。分布式系统有望提高系统的稳定性、可扩展性、并 能使系统融合各种检测技术于一身，从而创建一个相对完美的入侵检测系统，以 克服现有的系统方法单一、系统性能差等诸多问题。 针对目前的分布式入侵检测系统存在的问题，本文根据c i d f 提出的入侵检测 模型，分析了各组成部分的功能、以及各部分之间的相互作用，设计并实现了一 个实时、高效、可扩展性的分布式网络入侵检测系统。 本文的研究、设计和实现工作主要包括以下几个方面： 1 阐述了传统的分布式入侵检测的模型，对入侵检测系统的分类、体系结构、 使用策略等进行了分析，总结了目前广泛使用的入侵检测技术，提出了入侵检测 技术可能的改进与发展。 2 提出了一个基于规则匹配的入侵检测系统。对系统的构成、各个组成部分 进行了详细的描述，同时对系统的匹配算法做了讨论和改进。 3 预留了入侵检测系统与其他入侵检测系统、防火墙等的接口，实现了不 同类型的i d s 之间及i d s 与防火墙之间的数据共享和响应互动，是网络安全策 略的一个重要发展方向。因此大规模分布式入侵检测系统应具有与其他安全部 件互动的接口。 4 第一章前言 1 4 论文的组织安排 全文结构如下： 第一章介绍了课题研究的背景，详细介绍了入侵检测目前国内外研究现状及 存在的不足，并提出了本研究课题的目的和意义、及本文的主要工作。 第二章详细介绍了入侵检测相关的基本概念，分类、分布式入侵检测系统存 在的问题及难点及d n i d s 的发展趋势。 第三章在分析了入侵检测系统的体系结构及存在的不足的基础上，本系统采 用了三层分布式的体系结构。 第四章阐述了系统的设计与实现。本章涉及至4 数据包捕获、协议解析、规则 匹配、通信模块及a p i 接口原理与实现。 第五章：总结。对全文进行总结，以及对未来工作的展望。 电子科技大学硕士学位论文 第二章入侵检测系统概述 随着网络技术的发展，网络环境变得越来越复杂，对网络安全来说，单纯的 防火墙技术暴露出明显的不足和弱点，如：无法解决安全后门问题；不能提供实 时入侵检测能力；对病毒束手无策等。因此需要更多更强大的主动策略和方案来 增强网络的安全性，其中一个有效的解决方案就是入侵检测。入侵检测系统 ( i n t r u s i o nd e t e c t i o ns y s t e m ) 可以弥补防火墙的不足，为网络安全提供实时 的入侵检测及采取相应的防护手段，如：记录证据、跟踪入侵、恢复或断开网络 连接等。 2 1 入侵检测系统的基本概念 入侵( i n t r u s i o n ) 是指任何企图破坏资源的完整性、机密性及可用性的活动集 合。s m a h a 从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、 泄露、拒绝服务、恶意使用六种类型。总括来说，入侵表示系统发生了违反系统 安全策略的事件。 入侵检测( i n t r u s i o nd e t e c t i o n ) 是指通过检查操作系统的审计数据或网络数 据包信息来检测系统中违背安全策略或危及系统安全的行为或活动，从而保护系 统的资源不受拒绝服务攻击、防止系统数据的泄露、篡改和破坏。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是指能够通过分析与系 统安全相关的数据来检测入侵活动的系统，包括入侵检测的软件和硬件的组合， 简称i d s 。从系统所执行的功能上来考虑，i d s 必须包括如下三个功能部件：提供 事件记录流的数据收集部件、发现入侵迹象的分析引擎和基于分析引擎的结果产 生反应的响应部件。 网络入侵检测系统( n e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m ，n i d s ) 作为新一 代的动态安全防范技术，它通过对计算机网络或系统中若干关键点数据的收集， 并对其进行分析，从而发现是否有违反安全策略的行为和被攻击的迹象。n i d s 能 检测到谁正在攻击当前的网络，从而及时地通知网络管理员进行响应，减少入侵 行为带来的损失；也能知道网络是如何被攻击的，从而有助于安全专家分析攻击 6 第二章入侵检测系统概述 过程，由此得出系统或配置的漏洞，防止再次受到同样的攻击。 分布式入侵检测系统( d i d s ，d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) ， 它将基于主机和基于网络监视的方法集成在一起，成为i d s 系统的基本框架。 2 2 入侵检测系统分类 2 2 1 基于数据包获取方法的分类 入侵检测系统按数据来源可分为基于主机的入侵检测系统( h o s t b a s e d i n t r u s i o nd e t e c t i o ns y s t e m ，h i d s ) 、基于网络的入侵检测系统( n e t w o r k b a s e d i n t r u s i o nd e t e c t i o ns y s t e m ，n i d s ) 和混合型入侵检测系统。 ( 1 ) 基于主机的入侵检测系统h i d s h i d s 为早期的入侵检测系统，检测目标主要是主机系统和系统本地用户。h i d s 根据主机的审计数据和系统的日志事件来发现可疑事件。由于基于主机的i d s 依 赖于审计数据或系统日志，而审计数据或系统日志的准确性和完整性，使得h i d s 检测出入侵行为的成功率比较高，虚警率低。此外，h i d s 也能监视特殊的系统活 动，并适应于加密和交换环境。 ( 2 ) 基于网络的入侵检测系统n i d s n i d s 使用原始的网络数据包作为进行攻击分析的数据源。为此，一般利用某 种方式( 例如将设置为混杂模式) 来截获网络数据包。通过对数据包报头及内容的 分析，确定是否有攻击行为的发生。 ( 3 ) 混合入侵检测 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用 一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类 产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系， 综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻 击信息，也可从系统日志中发现异常情况。 2 2 2 基于体系结构的分类 按照体系结构，i d s 可分为集中式、等级式和协作式三种。 ( 1 ) 集中式 这种结构的i d s 可能有多个分布于不同主机上的审计程序，但只有一个中央入 侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处 电子科技大学硕士学位论文 理。但这种结构的i d s 在可伸缩性、可配置性方面存在致命缺陷。随着网络规模 的增加，主机审计程序和服务器之间传送的数据量就会骤增，导致网络性能大大 降低。并且，一旦中央服务器出现故障，整个系统就会陷入瘫痪。根据各个主机 的不同需求配置服务器也非常复杂。 ( 2 ) 等级式 在这种i d s 中，定义了若干个分等级的监控区域，每个i d s 负责一个区域， 每一级i d s 只负责所监控区的分析，然后将当地的分析结果传送给上一级i d s 这 种结构也存在一些问题：首先，当网络拓扑结构改变时，区域分析结果的汇总机制 也需要做相应的调整：第二，这种结构的i d s 最后还是要把各地收集到的结果传送 到最高级的检测服务器进行全局分析，所以系统的安全性并没有实质性的改进。 ( 3 ) 协作式 将中央检测服务器的任务分配给多个基于主机的i d s ，这些i d s 不分等级， 各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都得到了 显著的提高，但维护成本却高了很多，并且增加了所监控主机的工作负荷，如通 信机制、审计开销、踪迹分析等。 2 2 3 基于分析和检测的分类 根据分析和检测的方法入侵检测技术可以分为两种。 第一种是异常检测模型( a n o m a l yd e t e c t i o nm o d e l ) ，通过假定入侵行为都是 与正常网络使用行为不同。因而可以先建立系统正常行为框架，通过统计和其他 手段找出和正常行为不同的系统状态视其为可疑企图。这种模式的优点是能够检 测出未知的攻击方式，局限性在于异常行为并非都是入侵，其次由于检测算法的 不成熟导致较大误检率。 第二种是误用检测模型( m i s u s ed e t e c t i o nm o d e l ) ，通过收集和积累非正常 操作和已知的入侵的行为特征库，将采集到的数据和特征库中的特征代码进行比 较。通过匹配获知入侵的发生。这种模式发现技术的关键是如何表达入侵的模式 和建立特征库。这种模式的优点是误报少，局限是只能发现已知的攻击，对未知 的攻击无能为力。因而产生漏报现象。同时由于规则集的建立不够精确，符合某 匹配特征的行为也不一定是入侵。 简单的说异常检测模型是基于普通的用户行为来比较查找入侵攻击，而误用 检测模型是基于恶意用户行为匹配来发现入侵攻击。 衡量入侵检测系统性能主要有两个指标。漏报率( f a l s en e g a t i v er a t e ) 和误 8 第二章入侵检测系统概述 报率( f a l s ep o s i t i v er a t e ) 。从上述介绍可以看出异常检测是产生误报的主要原 因，而误用检测是产生漏报的主要原因。因而结合异常检测和误用检测两种模式 可以提高入侵检测系统的性能。 2 3 分布式入侵检测系统存在的问题及难点 目前，国内外关于d n i d s 的研究中存在的问题和难点可归纳为以下几点： ( 1 ) 广泛接受的术语和概念框架的缺乏 网络入侵检测技术虽然近几年来发展迅速，但其终究还是一个较新的技术， 缺乏国际统一的规范，术语和概念框架没有权威的界定。如：描述入侵过程和提取 攻击模式的规范，检测和响应模型的统一描述语言，检测引擎的定制处理标准等。 这种情况反映到入侵检测系统的产品上就表现为入侵检测系统的厂家基本处于各 自为战的情况，标准的缺乏使得其相互间的互通几乎不可能。 ( 2 ) 客观的评估体系与测试体系的缺乏 目前对现有的网络入侵检测系统的评估与测试没有相应的指标体系，这使 得目前开发的网络入侵检测系统没有统一的评价标准，这种情况不利于高质量高 效率的网络入侵检测系统的研究与开发。 ( 3 ) 成熟的入侵检测技术较少 虽然许多专家和学者从不同的学术领域和不同的研究角度用多种方法和工 具对入侵检测技术作了较为深入的探讨，相关内容前文已有较为详细的论述。但 目前真正能够实现并转化为相应产品的入侵检测技术还是少之又少陬 。成熟的 并真正产品化的技术仍旧是基于模式库的误用检测技术和专家系统技术，其余的 许多新理念与新方法还停留在理论探索阶段，还没有相应的产品问世。 ( 4 ) 在不断增加的网络带宽下很难保证较高的检测效率 这是n i d s 所需要不断解决的问题，网络带宽不断增加，网络流量不断增大， n i d s 的检测性能必须不断得以提高。对集中式的n i d s 而言，该问题尤为严峻和明 显降鲷。当前的网络入侵检测系统大多能在1 0 m 的网络环境下正常运行，在1 0 0 m 的环境下己经是不堪重负了。据i s s 对现有i d s 的评测，即使在一个专用的高端 u n i x 主机上，在满负载的1 0 0 m 以太网链路上也会丢失3 0 一7 5 的包，一些系统甚 至在使用率达到2 0 时就开始丢包。然而网络带宽还在不断的增大，1 0 0 0 m 以太网， 光纤技术的大量应用使得网络入侵检测系统就更加难以承受了。而将n i d s 的结构 由集中式转为分布式是解决该问题的一个主要途径。采用分布式结构可以将采集 9 电子科技大学硕士学位论文 分析工作分配到多个节点进行，每个检测器只负责一小部分网络的安全，而且可 以让检测器分别检测不同类型的网络数据包，这样就减轻了单个检测器的负担， 从而提高了这个系统的性能。 ( 5 ) 检测器之间缺乏充分的信息交互 这主要针对分布式网络入侵检测系统而言。对d n i d & 的定义多种多样，其最 本质的东西是：只要系统的分析数据部分在系统的部署上式分布的，入侵检测系统 就可以认为是分布式网络入侵检测系统。在d n i d s 中，每一个检测器( 包括数据采 集和数据分析部分) 负责检测网络中某一网段的安全事件，然后将结果传递给更高 一层的控制器，如控制台。它们充分而准确的信息交互与共享使其能够高效地协 同分析与检测网络中的安全事件，从而使系统能够发挥最大的效率。但在国内外 的相关文献中，对该部分的介绍与研究尚不多见。 2 4d d s 的发展趋势 近年来，随着网络技术与网络应用的不断发展和网络入侵检测技术的逐渐成 熟。可以预见，未来的d n i d s 的发展主要有以下几个方向：智能化、人工免疫原理 的应用和a g e n t 技术的应用。 ( 1 ) 智能化 人工智能技术在网络入侵检测中的主要应用就是进行数据筛选和行为分类。 数据筛选就是对入侵检测系统的原始数据进行分析，提取数据中的重要部分进行 检测，从而减少检测器需要直接处理的数据，节约检测所需要的时间、网络负载 和存储需求。而行为分类的目的就是为了更有效的辨认入侵者。人工智能技术在 上述两方面的应用可在一定程度上提高入侵检测的能力。 ( 2 ) 人工免疫原理的应用 该方法借鉴人类免疫系统的原理，构造一个计算环境下的免疫检测系统。 该方法构造的系统具有类似人体免疫系统的特点：分布式、自适应、容错能力强。 系统的检测由许多相互独立的检测体共同完成，这些检测体类似于人体内的白细 胞、淋巴细胞等，系统对外来攻击的检测能力不依赖于攻击是否出现过。 在设计利用免疫原理进行网络入侵检测的方法中。系统设计的关键就是关于 “自我”( s e l f ) 的定义，只有确切定义了正常活动模式集，才能正确识别出异常 情况。 这种方法非常适用于大型网络范围内的分布式入侵检测，其概念新颖，但在 1 0 第二章入侵检测系统概述 理论上和实践中还有许多问题需要解决。 ( 3 ) 她e n t 技术的应用 为克服典型网络入侵检测系统存在的扩展性差、容错能力差等缺点，在基于 a g e n t 的入侵检测中利用一些分布于计算机网络各处的高效智能主体( a g e n t ) 协同 工作，进行系统的入侵检测。这些单元可以独立地检测系统全局范围内的某一方 面的情况，并能相互协同工作。a g e n t 的内部设计可基于多种不同的算法，例如神 经网络，对a g e n t 进行训练，使其能检测到系统内不同的异常活动。 电子科技大学硕士学位论文 第三章d d s 总体设计 体系结构历来都是计算机应用系统所必须首先面对和解决好的一个问题。就 n i d s 而一言，正如我们将在本章中讨论和分析的那样，体系结构的不同和差异在 很大程度上左右着系统的分析能力和检测效率。下面，本文将结合对n i d s 基本体 系结构的讨论，分析其中存在和值得关注的一些问题，然后在此基础上给出并阐 述本文所采用的一种分布式n i d s 的体系结构。 3 1 d s 的基本体系结构 按照系统中基本组成单元、单元分布方式以及单元之间相互关系的不同，n i d s 的基本体系结构大致可分为两类，即集中式结构和分布式结构。 3 1 1 集中式n i d s 5 】 6 如图3 1 所示，一般来说，基于集中式结构的n i d s 大多由四个部分组成 图3 1 集中式n i d s 结构示意 1 2 第三章d n i d s 总体设计 数据传感器 主要负责从网络流量中提取出与安全有关的数据。 事件分析器 主要负责按照预先确定的分析方法和检测机制，结合事件规则库进行相应的 数据分析和入侵检测。 管理控制器 主要负责管理和控制系统中的其它单元，并负责进行事件响应。 事件规则库 主要负责生成和提供与入侵特征相关的事件描述和安全规则。 集中式结构的n i d s 可以包含一个或多个数据传感器( 通常为一个) ，作为n i d s 中的数据采集单元，这些传感器首先从其所处的网段上提取网络数据( 即对网络流 量进行“嗅探”) ，然后再传递到事件分析器中进行集中处理。事件分析器是n i d s 的核心单元，它接收来自传感器的数据，对其进行相关的处理和分析，并在此基 础上试图找出存在于网络流量中的可疑数据，实现对入侵行为的检测。 管理控制器在系统中起着对事件分析器及其它资源( 如事件规则库) 的管理和 控制作用，它也是系统对入侵事件进行响应的平台，同时还负责为用户提供与系 统进行交互的界面。 实际上，集中式n i d s 的主要特征就在于它对系统中的数据分析和事件检测是 集中进行的，也就是说分析和检测过程是由系统中唯一的一个事件分析器来完成 的( “集中”的第一层含义) ，并且系统中的数据传感器( 一个或多个) 、事件分析 器和管理控制器一般都同属于一个运算中心( “集中”的第二层含义) 。 传统的n i d s 大多采用的是集中式结构，这使得它们在应对新的网络技术、结 构以及新的攻击方法时变得难以适应。 3 1 2 分布式n i d s 7 8 】 9 】 1 0 如图3 2 所示，一个采用分布式结构的n i d s 通常可由四个部分组成： 事件产生器 主要负责从网络流量中提取与安全有关的数据，并按照预先确定的方法和机 制进行数据的处理、分析和事件检测。 信息收发器 主要负责为事件产生器与管理控制器之间的数据通信提供服务，同时也可以 完成一定的信息处理和管理控制功能。 电子科技大学硕士学位论文 管理控制器 主要负责在信息收发器所提交数据的基础上，按照预先确定的方法和机制完 成数据分析、事件检测和事件响应，同时也负责对其所辖的信息收发器和事件产 生器实施管理和控制。 图3 2 分布式n i d s 结构不意 事件规则库 主要负责生成和提供与入侵特征相关的事件描述和安全规则。 在基于分布式结构的n i d s 中，任何一个被监测的网段或节点上都可以包含 一组事件产生器，它们分别独立地处理、分析和检测网络流量中的不同方面，是 系统中最基本的单元。通常，事件产生器之问并不直接进行数据通信，而是将各 自的数据处理结果分别传递到处于该网段或节点上的信息收发器中。在每个被监 测的网段或节点上一般只有一个信息收发器，它收集各个事件产生器输出的信息 并上报给管理控制器，同时也接收来自管理控制器的信息并分发给各个事件产生 器。信息收发器可以对其所处网段或节点上的所有事件产生器实施一定的管理和 控制，同时也能够按照预先制定的策略对来自各个事件产生器的信息进行相应的 分析和检测。一般来说，信息收发器和事件产生器同属于一个运算中心。管理控 制器是系统中数据分析、事件检测和系统服务的管理控制中心，它综合来自多个 信息f 收发器的数据，按照预先制定的方法和策略进行更高层次的分析和处理， 以期发现其它单元由于所处位置的局限而未能察觉到的入侵，从而能对网络中的 1 4 第三章d n i d s 总体设计 安全状况有一个全局性的把握，并在此基础上作出对入侵事件的响应；另一方面， 管理控制器还负责管理和控制系统中多个被监测网段或节点上的信息收发器，同 时也通过它们对所辖的事件产生器实施控制和管理，同时还为用户提供与系统进 行交互的界面。此外，在一些规模很大的网络中( 如通过i n t e r n e t 所构成的网络) ， 分布式n i d s 还可以在系统中包含不止一个的管理控制器，这些子管理控制器往往 被分成相同或不同的级别，分别负责整个网络的一部分区域( 如一个子网) ，最后再 由系统中唯一的一个母管理控制器对发生在全网中的安全事件作出分析、检测和 响应。 从上面的描述中可以看出，分布式n d s 的主要特征就在于系统中的数据分 析和事件检测并非由一个唯一的单元所完成，而是通过多个单元采用分层次的结 构来协同进行，并且不同层次上的单元可以属于不同的运算中心，这些都是它区 别于集中式n i d s 的重要标志。 虽然我们在上面只是描述了分布式结构应用于n i d s 的基本情况，但是，分 布式结构的基本思想也为n i d s 和h i d s 这两类i d s 的集成提供了有效的解决方 法。在这样一种情况下，事件产生器除了被安置在待监测的网段或节点上以提取 和分析不安全的网络流量外，它们还被放置在待监测的主机上以提取和分析有关 的主机安全日志，并通过各自的信息收发器与系统的管理控制器联系起来，从而 可以为系统提供更为全面的安全监测。由于本文侧重的是n i d s 技术的研究和系统 建立，故对这方面的情况不再展开进行讨论。此外，本文在上面所描述的内容并 非特指一个具体的分布式n i d s 模型或系统，而只是对一些常见模型和系统的一个 一般性的归纳，目的是便于我们在后面进行讨论和分析时使用。 分布式结构的n i d s 是目前入侵检测技术研究的热点区域，其中的一些重要问 题仍值得关注和进一步探讨，有关这方面的内容本文将在3 3 中进行更多的分析 和讨论。 3 2 集中式n i d s 存在的主要缺陷 1 1 1 2 】 传统的n i d s 大多采用的集中式结构，然而随着网络结构的升级、网络规模的 扩大以及基于网络的应用技术的发展，集中式结构的n i d s 己越来越难以解决网络 安全所面临的新的问题。 3 2 1 数据获取和处理能力 电子科技大学硕士学位论文 网络流量中原始数据的获取和处理是n i d s 进行数据分析和事件检测的基本 前提，为了充分地分析和判断网络流量中是否存在着各种潜在的攻击行为，n i d s 必须能够及时地获取和处理当前网络流量中的全部数据，否则就有可能会造成系 统对事实上存在的攻击行为的漏检和漏报。例如，在n i d s 未能及时提取和处理的 数据中可能恰好隐藏了一段完整的攻击代码，或者攻击代码的一部分。在前一种 情况下，n i d s 将会由于失去分析对象而完全丢掉一次对攻击进行检测的机会：而对 于后一种情况来说，虽然n i d s 获取了一部分攻击代码，但是由于代码并不完整， 不能全面地反映攻击行为的特征，此时，即使系统能够对这部分代码进行处理， 也仍然可能无法判断这些代码是否属于一次攻击。 集中式n i d s 般通过放置在待监测网段上的传感器来获取网络中的所有数 据，并由系统中一个唯一的事件分析器对这些来自传感器的数据进行集中的处理 和分析。然而，在网络结构从过去的广播式十兆以太网演变到现在的交换式